26 votos

Cómo se almacenan en caché las credenciales de Windows almacenados en el equipo local?

Cómo se almacenan en la caché de dominio de Active Directory credenciales almacenadas en un cliente de Windows? Son almacenados en la base de datos SAM local, lo que los hace susceptibles a la misma arco iris tabla ataques que las cuentas de usuario locales son susceptibles a, o son almacenados de manera diferente? Nota, que me doy cuenta de que ellos son salados y hash, por lo que no se almacenan en texto plano, pero son de hash de la misma manera que las cuentas locales, y son almacenados en el mismo lugar?

Me doy cuenta de que como mínimo son susceptibles a un ataque de fuerza bruta, pero eso es una situación mucho mejor que siendo vulnerables a las tablas de arco iris en el caso de robo de una máquina.

17voto

Chris S Puntos 65813

"Las credenciales almacenadas en caché"

Las credenciales almacenadas en caché para un dominio de AD son en realidad salado doble hash de la contraseña y se almacena en la clave HKLM\Seguridad de la colmena. La ubicación del archivo de la colmena: %systemroot%\System32\config\SECURITY

Sólo el "sistema" usuario tiene acceso a las claves del registro:
HKLM\Security\Cache\NL$n donde n es un índice de 1 al número máximo de credenciales almacenadas en caché.

La susceptibilidad a los Ataques de

WinNT para WinXP utiliza "Lan Manager" hash para locales de las cuentas, que se rompe con facilidad en hardware moderno. El agrietamiento por lo general toma varios minutos (hace poco hice 3 contraseñas en 00:08:06) con un "normal" computadora de escritorio. Hash de Lan Manager no son salados, así que hay disponible públicamente las tablas rainbow.

Vista y posterior uso de NT hash para locales de cuentas. Windows 2000 y posterior uso de NT hash para el dominio de cuentas. NT hash son salados doble hash MD4. A la entrada de la sal impide el uso de las tablas rainbow, pero MD4 puede ser ejecutado muy rápido en hardware moderno: alrededor de 6 de cómputo de años para un 60 bits contraseña. Con suerte y un 6 GPU clúster de un cracker puede romper esta especie de contraseña en ~6 meses. Tomando que a la nube, alrededor de $35k en Amazon EC2 de la GPU, dependiendo de la disponibilidad, podría estar horas.

4voto

Ryan Ries Puntos 33449

Que son manejados por el Administrador de Credenciales, para el que no hay un Administrador de Credenciales de API. La salada hash se almacenan en un poco de forma segura en el disco y acceder a través de HKLM\Seguridad. (Que sólo puede ser accedido por LocalSystem por defecto, pero es fácil pasar por alto, por ejemplo, por psexec-i-s regedit.exe.)

En una ejecución de sistema de Windows, sin embargo, la situación es aún más grave, ya que recientemente credenciales utilizadas pueden ser obtenidos y fácilmente reversibles en texto sin formato mediante la conexión de un archivo DLL en Lsass. (Ver Mimikatz.)

Así que sí, vas a encontrar algún tipo de hash (o hash de un hash, o "verificador" o lo que sea que quieras llamarlo) en HKLM\Seguridad\Cache en el cliente. Pero no creo que haya ninguna forma posible para atacar el hash en el disco. No es el mismo viejo tipo de hash NTLM que es atacable.

0voto

Russ Wheeler Puntos 173

Las credenciales no son en realidad en caché en el equipo local. Ver este extracto de MS:

Seguridad de almacenamiento en caché las credenciales de dominio

El término credenciales almacenadas en caché no describe con precisión cómo Windows almacena en caché información de inicio de sesión de dominio de los inicios de sesión. En Windows 2000 y en las versiones posteriores de Windows, el nombre de usuario y la contraseña no se almacena en caché. En su lugar, el sistema almacena un comprobador de cifrado de la contraseña. Este verificador es un valor hash de MD4 se calcula dos veces. El doble cálculo efectivamente hace el comprobador de un hash de hash de la contraseña de usuario. Este comportamiento es diferente el comportamiento de Microsoft Windows NT 4.0 y versiones anteriores de Windows NT.

http://support.microsoft.com/kb/913485

EnMiMaquinaFunciona.com

EnMiMaquinaFunciona es una comunidad de administradores de sistemas en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros sysadmin, hacer tus propias preguntas o resolver las de los demás.

Powered by: